Roberto Chávez, gerente de ERS (Enterprise Risk Services) de Deloitte Ecuador, brindó más detalles sobre esta normativa. "Esta norma responde a un tema que está alzando vuelo en el país, y es la seguridad en la información. Muchas personas, normalmente, creen que al hablar de seguridad informática estamos hablando de Tecnología, pero el tema va mucho más allá y abarca procesos y personas", dijo Chávez, quien además detalló que el objetivo fundamental del acuerdo 166 es implementar un esquema gubernamental de seguridad de la información que tiene la misma idea de un sistema de gestión. <br /> <br /> <br /> Asimismo, el especialista señaló que en Latinoamérica se han visto avances en la materia en países como Colombia y Argentina; mientras que en Ecuador se está implementando en respuesta a una serie de incidentes de seguridad como informaciones filtradas durante los ataques del 10 de Agosto y 24 de Mayo, fechas en las que Anonymous Ecuador anunció a través de su cuenta de Twitter que había iniciado una serie de ataques a las páginas oficiales ecuatorianas.<br /> <br /> <br /> "Como Deloitte, tenemos la capacidad y la experiencia para poder apoyar a todos las organizaciones en la implementación de este tipo de proyectos", manifestó.<br /> <br /> De su lado, Oswaldo Bravo, gerente Senior del Área de ERS de Deloitte, fue el encargado de describir y dar a conocer las principales secciones y objetivos del acuerdo, el mismo que consta de siete artículos y tiene un plazo de 18 meses para su ejecución total.<br /> <br /> Bravo informó que la aplicación de esta norma empieza con la aclaración de ¿Qué implica? la misma. Según el especialista, en esta sección se establece la obligatoriedad de cumplir con los requisitos especificados en la norma, para poder obtener la conformidad de cumplimiento y certificación por parte de las entidades de Administración Pública que dependen del Ejecutivo, y <br /> además que todas las entidades tendrán 18 meses para ejecutarla. Esto a partir de su publicación en el registro oficial que fue en septiembre de 2013.<br /> <br /> "En un inicio se debe establecer la prioridad de identificar y definir formalmente las necesidades de las partes interesadas con relación a la seguridad de la información y sus expectativas con relación al Sistema de Gestión de la Seguridad de la Información (SGSI), pues esto determinará las políticas de seguridad de la información y los objetivos a seguir para el proceso de gestión de <br /> riesgos", dijo Bravo.<br /> <br /> De igual manera, destacó que para aplicar este tipo de normas debe existir una persona que lidere su ejecución. El mismo se debe ajustar y tener relación y responsabilidades que la Alta Dirección, respecto al SGSI, le otorgue, pero destacando de manera puntual su compromiso con el proyecto.<br /> <br /> "Esta persona debe garantizar que los objetivos del SGSI y la política de seguridad de la información, anteriormente definida como “Política del SGSI”, estén alineados con los objetivos del negocio, garantizando la disponibilidad de los recursos para la implementación del SGSI (económicos, tecnológicos, etcétera)", señaló Bravo, quien acotó que el proceso para la evaluación <br /> de riesgos ya no está enfocado en los activos, las vulnerabilidades y las amenazas, esta metodología se enfoca en el objetivo de identificar los riesgos asociados con la pérdida de la confidencialidad, integridad y disponibilidad de la información.<br /> <br /> Por último, se dio a conocer el aporte para el establecimiento, implementación y mejora del SGSI, en el que se incluye; recursos, personal competente, conciencia y comunicación de las partes interesadas, y en este contexto se informó del caso de éxito en aplicación de este proceso en la CNT, que en el marco que establece la norma ISO/IEC 27001, ISO/IEC 27002 e ISO/IEC 27005 <br /> y con el fin de brindar a sus líneas de negocios un nivel de seguridad razonable que soporte el cuidado de la integridad, confidencialidad y disponibilidad de su información, inició el proyecto <br /> <br /> “Diseño e implementación del Sistema de Gestión de Seguridad de la Información” (SGSI) aplicado al proceso: Venta e Instalación de Productos y Servicios de Datos e Internet para Clientes Corporativos”.<br /> <br /> "Este proyecto se lo desarrolló con una empresa de prestigio internacional como es Deloitte", dijo Yandry Castro, representantes de la CNT, quien aclaró que el sistema de Gestión de Seguridad de la Información (SGSI) de la CNT EP comprende el cumplimiento exigido por las entidades certificadoras a nivel mundial, tanto de los procesos y documentos obligatorios como de los necesarios para asegurar el SGSI.<br />